[SECURITY] squirrelmail
Michal Margula
alchemyx w uznam.net.pl
Pią, 2 Lis 2001, 12:35:30 CET
[piątek, 02 listopad 2001], Krzysztof Drewicz napisał(a):
>
> On Thu, 1 Nov 2001, Michal Margula wrote:
>
> > Nasz squirrelmail ma wiekszosc plikow ustawione na 755 http.http - nie musze
> > mowic chyba, ze zadnym problemem jest podlozenie z poziomu prostego skryptu
> > PHP swoich plikow, ktore np loguja gdzies hasla?
> Katalog data _musi_ miec rwx dla usera http. Mozna zawsze zdjac rx
> dla other, tylko czy to cos da. Moglbys opisac scenariusz ataku? Nie
> bardzo to jakos widze, chyba ze chodzi o podstawienie jakiegos pliku
> zamiast np login.php.
> Tymczasem, do wszystkiego poza data powinno wystarczyc 'rx'
chodzi o pliki php ktore nie wiadomo dlaczego maja 775 i wlasciciela
http.http. wystarczy zmiana na 644 root.root. kropka.
--
Michał Margula, alchemyx w uznam.net.pl, ICQ UIN 12267440, +)
http://uznam.net.pl/~alchemyx/, administrator polskiej sekcji Linux Counter
"W życiu piękne są tylko chwile" [Ryszard Riedel]
<arekm> włączam icq: alchemyx, włączam irca: alchemyx, aż boję otworzyć lodówkę
Więcej informacji o liście dyskusyjnej pld-devel-pl